クラウド環境と連携するワンクリックSSLとは<br />~SSLの自動インストール、自動更新、月額課金を実現~<br />浅野 昌和<br />GMOグローバルサイン株式会社<br />グループ技術開発部 部長<br />
ワンクリックSSL – 開発の背景<br />
1996年から2011年までのWeb技術の変遷<br />使いにくい<br />動きのないHTML<br />インタラクティブでない<br />カスタマイズできない<br /><ul><li>用途に合った表現方法、インタラクティブ、アプリケーシ...
HTML, CSS, Flash, Silverlight, XML, JavaScript, Ajax… HTML5
PC, phone, tablet, TV 等、様々なデバイスからアクセス可能</li></li></ul><li>1996年から2011年までのSSLの変遷<br />1996年当時のSSL のライフサイクル<br />
1996年から2011年までのSSLの変遷<br />2011年のSSL のライフサイクル<br />90年代と変わっていない!!<br />
SSLのライフサイクル管理は何も変わっていない<br /><ul><li>状況はさらに複雑になっている
暗号鍵の鍵長についての制約
様々な審査方法
認証局の階層が複雑に
証明書を注文する部門とインストールする部門が異なっている
ブラウザは、「正しくない」証明書が使用されているサイトへのアクセスをブロックするようになった</li></li></ul><li>SSL証明書が「正しくない」状態になる要因<br />RSA鍵が脆弱<br />正しくないドメイン名で申請<br ...
SSLパラダイムの変化<br /><ul><li>クラウドホスティングのマーケットは、繊細なエコシステム
サポートコストがマージンを食いつぶしてしまう
自動化の必要性
x.509証明書の申請・設定という概念から、セキュアWebサイトの申請・設定という概念への移行
顧客がほしいのは証明書ではなくセキュアなWEBサイトである</li></ul> 新しいパラダイムに対応したSSLライフサイクル管理の方法の必要性<br />OneClickSSLの登場<br />
OneClickSSLとは<br />
OneClickSSLとは<br /><ul><li>考え方
パート1: バウチャーの申請(証明書ではなく、バウチャーを配布)
パート2 : SSLの有効化(バウチャーを使用した自動証明書インストール)</li></ul>「購入」フェイズと「設定」フェイズの分離<br />
OneClickの2つのフェイズ<br />GlobalSign<br />Phase1<br />商材選択・Voucher購入(購入画面・API)都度購入/まとめ買いが可能<br />パートナー様<br />Voucher引き渡し<br />...
OneClickの2つのフェイズ<br />GlobalSign<br />コントロールパネル<br />Phase1<br />Voucher購入(API)<br />Communicate via API<br />注文情報入力<br />...
Phase2 証明書発行フェイズ<br />GS側<br />発行申請システム<br />(GAS)<br />コントロールパネル<br />①CSR生成<br />②テスト証明書の要求<br />④テスト証明書のインストール<br />⑤本番...
Upcoming SlideShare
Loading in …5
×

クラウド環境と連携するワンクリックSSLとは~SSLの自動インストール、自動更新、月額課金を実現~

1,073 views

Published on

第2回クラウドコンピューティングEXPO 春のcloudpackブースにてセミナーを行った、GMOグローバルサイン株式会社 浅野様のドキュメントを提供いただき、UPLOADしています。

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,073
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • SSLの話をする前に、この15年間でWEB技術がどう進化してきたか
  • 一方でSSLを取り巻く状況というのは複雑になってきていて、弱い鍵を排除するためのスタンダードに準拠するとか、審査方法が多様化したりとか、ブラウザの証明書ハンドリングはもっと厳しくなってきていて、正しい証明書だと判断できなかった場合はサイトの表示をしないようになってきています
  • 正しい証明書 正しくない証明書 正しくない証明書が発行されるリスクというのが、かなり高い
  • これによって、CSRの生成などの技術的な要件なしに注文できる 技術部門以外でも注文できるあるいは証明書を使うサイトがわかっていれば、まだその準備が整っていなくてもたとえばホスティング会社が注文を行うことができる
  • クラウド環境と連携するワンクリックSSLとは~SSLの自動インストール、自動更新、月額課金を実現~

    1. 1. クラウド環境と連携するワンクリックSSLとは<br />~SSLの自動インストール、自動更新、月額課金を実現~<br />浅野 昌和<br />GMOグローバルサイン株式会社<br />グループ技術開発部 部長<br />
    2. 2. ワンクリックSSL – 開発の背景<br />
    3. 3. 1996年から2011年までのWeb技術の変遷<br />使いにくい<br />動きのないHTML<br />インタラクティブでない<br />カスタマイズできない<br /><ul><li>用途に合った表現方法、インタラクティブ、アプリケーションの統合
    4. 4. HTML, CSS, Flash, Silverlight, XML, JavaScript, Ajax… HTML5
    5. 5. PC, phone, tablet, TV 等、様々なデバイスからアクセス可能</li></li></ul><li>1996年から2011年までのSSLの変遷<br />1996年当時のSSL のライフサイクル<br />
    6. 6. 1996年から2011年までのSSLの変遷<br />2011年のSSL のライフサイクル<br />90年代と変わっていない!!<br />
    7. 7. SSLのライフサイクル管理は何も変わっていない<br /><ul><li>状況はさらに複雑になっている
    8. 8. 暗号鍵の鍵長についての制約
    9. 9. 様々な審査方法
    10. 10. 認証局の階層が複雑に
    11. 11. 証明書を注文する部門とインストールする部門が異なっている
    12. 12. ブラウザは、「正しくない」証明書が使用されているサイトへのアクセスをブロックするようになった</li></li></ul><li>SSL証明書が「正しくない」状態になる要因<br />RSA鍵が脆弱<br />正しくないドメイン名で申請<br />CSRエラー<br />承認メールが迷惑メール扱いされる<br />秘密鍵が削除されている<br />更新忘れ<br />
    13. 13. SSLパラダイムの変化<br /><ul><li>クラウドホスティングのマーケットは、繊細なエコシステム
    14. 14. サポートコストがマージンを食いつぶしてしまう
    15. 15. 自動化の必要性
    16. 16. x.509証明書の申請・設定という概念から、セキュアWebサイトの申請・設定という概念への移行
    17. 17. 顧客がほしいのは証明書ではなくセキュアなWEBサイトである</li></ul> 新しいパラダイムに対応したSSLライフサイクル管理の方法の必要性<br />OneClickSSLの登場<br />
    18. 18. OneClickSSLとは<br />
    19. 19. OneClickSSLとは<br /><ul><li>考え方
    20. 20. パート1: バウチャーの申請(証明書ではなく、バウチャーを配布)
    21. 21. パート2 : SSLの有効化(バウチャーを使用した自動証明書インストール)</li></ul>「購入」フェイズと「設定」フェイズの分離<br />
    22. 22. OneClickの2つのフェイズ<br />GlobalSign<br />Phase1<br />商材選択・Voucher購入(購入画面・API)都度購入/まとめ買いが可能<br />パートナー様<br />Voucher引き渡し<br />Phase2<br />コントロールパネル<br />Voucher入力<br />証明書発行(API)<br />エンドユーザ様<br />証明書発行要求<br />証明書設定<br />11<br />
    23. 23. OneClickの2つのフェイズ<br />GlobalSign<br />コントロールパネル<br />Phase1<br />Voucher購入(API)<br />Communicate via API<br />注文情報入力<br />エンドユーザ様<br />Phase2<br />証明書発行(API)<br />証明書発行要求<br />証明書設定<br />12<br />
    24. 24. Phase2 証明書発行フェイズ<br />GS側<br />発行申請システム<br />(GAS)<br />コントロールパネル<br />①CSR生成<br />②テスト証明書の要求<br />④テスト証明書のインストール<br />⑤本番用証明書の要求<br />⑧本番証明書のインストール<br />Voucher入力<br />③テスト用証明書発行<br />⑥テスト証明書の検証(ドメインの所有確認)<br />⑦本番証明書発行<br />エンドユーザ様<br />Voucher・CSR<br />ID・テスト証明書<br />ID・CSR<br />ID・テスト証明書<br />「設定」フェイズはワンクリックで!<br />13<br />
    25. 25. OneClickによる月次発行・月次課金<br />GlobalSign<br />Phase1<br />商材選択・Voucher購入(購入画面/API)<br />パートナー様<br />Communicate via API<br />Voucher引き渡し<br />Phase2<br />コントロールパネル<br />Voucher入力<br />エンドユーザ様<br />証明書発行要求<br />証明書設定<br />この処理を毎月繰り返すことで、ユーザのアクションなく毎月証明書が自動更新される<br />14<br />
    26. 26. Plug-ins<br />
    27. 27. EC2とワンクリックSSLの連携<br />
    28. 28. EC2連携 – 中継サーバ開発<br />SSL要求<br />Voucher注文<br />証明書・鍵設定<br />証明書要求・発行<br />中継システム<br />バリデーション<br />GlobalSignオーダーシステム<br />EC2<br />17<br />
    29. 29. 中継サーバの機能<br />オペレータ<br />中継システム<br />EC2<br />GlobalSign<br />投入<br />認証用鍵・CSR生成<br />Voucher,ID,FQDN<br />認証用証明書要求<br />認証用証明書発行<br />Voucher<br />FQDN<br />認証用証明書取得<br />Certificate<br />認証用証明書設定<br />Private key, Certificate, CA certificate<br />認証用証明書設定<br />本番用鍵・CSR生成<br />認証用証明書検証<br />本番用証明書要求<br />FQDN<br />Certificate<br />本番用証明書発行<br />本番用証明書取得<br />本番用証明書設定<br />本番用証明書設定<br />Private key, Certificate, CA certificate<br />
    30. 30. ライセンスフリー<br />1ライセンス分の料金で、複数台のサーバで利用可能<br />クラウドコンピューティングに最適なライセンスモデル<br />
    31. 31. GMOグローバルサインのご紹介<br />
    32. 32. 21<br />認証局 GMOグローバルサインとは<br />■グローバルサインのプロファイル<br /><ul><li>1996年にベルギー政府主導で設立された老舗の認証局(トップルート)
    33. 33. 認証局として、日本国内に本社機能を有し、日本発信でグローバル展開をする企業集団</li></ul> 【拠点】日本、ベルギー、ロンドン、ボストン、上海、シンガポール<br /><ul><li>SSLサーバ証明書の日本国内シェア2位
    34. 34. 経産省が推進する「流通システム標準化事業(流通BMS)」に、証明書を発行する認証 局として参入(2008年8月より流通BMS対応証明書を提供)
    35. 35. 世界で初めてSHA-2テスト証明書プログラムを提供(2008年6月より)
    36. 36. セイコープレシジョン様と電子署名・タイムスタンプビジネスで協業。</li></ul>「SEIKO Cyber Time時刻認証局」をグローバルサインが認証することで、「SEIKO Cyber Time時刻認証局」のタイムスタンプが国内だけでなくワールドワイドで利用でき、各国で電子文書の原本性保証を行うことが可能となる。<br />■会社概要<br />・GMOグローバルサイン株式会社<br />・設立:2003年4月<br />・資本金:356,640,000円<br />・代表取締役社長 中條 一郎<br />・所在地:〒150-0031 東京都渋谷区桜丘町20-1 渋谷インフォスタワー10階<br />
    37. 37. SSLの市場規模<br />SSL市場規模の推移<br />【2008年度 190億】->【2009年度 250億】 ->【2010年度 320億】<br /><参考> 富士キメラ総研<br />(b) 2007年6月の各社占有率<br />(a) 2003年4月の各社占有率<br />■国内サーバー証明書<br />有効発行数:48,070枚<br />■国内サーバー証明書<br />有効発行数:9,863枚<br />28.6%<br />82.3%<br />47.5%<br /><参考> Netcraft<br />グローバルサインは、<br />・国内市場の成長<br />・ユーザー様のニーズに合わせた価格設定<br />・独自サービス開発、投入により、国内30%近いシェアを獲得<br />■GMOグローバルサイン<br /> (旧社名:日本ジオトラスト)<br />・設立:2003年4月<br />・証明書定価:59,800円<br />■米ベリサイン社<br />・日本法人設立:1996年<br />・当時の証明書定価:81,000円<br />(現在も価格は変わらず)<br />
    38. 38. 23<br />グローバルサインの提供する証明書<br />SSLサーバ証明書<br />PDF文書署名用証明書<br />■ロケーション<br />  ・IR文書、財務報告書の公開、電子契約書への署名<br />  ・大学論文のWeb公開、CAD図面の署名<br />■目的<br />  ・PDF文書の作成者、作成日時の証明<br />■達成できること<br />  ・文書閲覧者に対し、証明書とタイムスタンプ(世界標準)<br />   を付加することで、「いつ」「誰が」作成したかの証明<br />  <br />■ロケーション<br />  ・Webサイトの問い合わせ窓口<br />  ・銀行、証券、保険、ECショップ等の会員サービス他<br />■目的<br />  ・個人情報、機密情報の秘匿化(通信区間の暗号化)<br />  ・企業の実在性、ドメインの実在性の証明<br />■達成できること<br />  ・サイト閲覧者=エンドユーザの信頼を獲得<br />            ⇒ビジネスチャンスの拡大<br />コードサイニング証明書<br />クライアント証明書<br />■ロケーション<br />  ・CD-ROM・オンラインにおけるプログラム配布時<br />■目的<br />  ・プログラム配布元の証明<br />  ・プログラム実行時の「警告」をなくす<br />■達成できること<br />  ・プログラム開発元の「なりすまし」、プログラムの   「改ざん」悪意のあるプログラムを埋め込まれること   を防止できる<br />  <br />■ロケーション<br />  ・メールの送受信<br />  ・アプリケーションの認証<br />■目的<br />  ・メール本文、添付ファイルに含まれる機密情報<br />   の秘匿化(暗号化)<br />  ・パスワードのみの認証よりも認証を強化<br />■達成できること<br />  ・メール、メールサーバがハッキング対策<br />  ・アプリ利用時の本人認証による利用者管理           <br />
    39. 39. ご静聴ありがとうございました<br />浅野 昌和<br />masakazu.asano@globalsign.co.jp<br />

    ×